1 Deliberação n.º 1704/2015 Aplicável aos tratamentos de dados pessoais efetuados no âmbito de Investigação Clínica Introdução I. A investigação clínica é essencial para o progresso da medicina, muito contribuindo para o desenvolvimento e o bem-estar das pessoas. Porém, quando aquela investigação envolve intervenção no ser humano, adivinham-se os riscos e responsabilidades inerentes a tal atividade. Para a prevenção daqueles é imperativo, não apenas a observância dos princípios científicos comummente aceites e o emprego das melhores técnicas disponíveis, como também o cumprimento dos mais elevados padrões éticos e o respeito pela dignidade da pessoa humana, nas suas diferentes manifestações. II. Deste modo, não são apenas as regras clínicas e técnicas que se impõem na investigação, mas também exigências de natureza ética e jurídica. Na verdade, a investigação clínica não é um fim em si mesmo e a ideia de progresso da ciência e da medicina não se justifica só por si, senão antes e apenas de modo instrumental, como contributo para promover o bem-estar das pessoas e o desenvolvimento do ser humano. A prossecução da sua finalidade há de concretizar-se, pois, no aperfeiçoamento dos meios preventivos, de diagnóstico e de terapia, e no aprofundamento do conhecimento sobre as doenças, com prioridade sempre da vida, da saúde, da intimidade da vida privada e da dignidade de cada pessoa. III. Isso mesmo vem consagrado no artigo 3.º da Lei n.º 21/2014, de 16 de abril, alterada pela Lei n.º 73/2015, de 27 de julho (Lei da Investigação Clínica, doravante, LIC), onde se pode ler que os estudos clínicos são realizados no estrito respeito pelo princípio da dignidade da pessoa humana e dos seus direitos fundamentais, reforçando-se que os direitos dos participantes prevalecem sobre os interesses da ciência e da sociedade. Mais se salvaguarda, no n.º 3 do mesmo 2 artigo, que na realização da investigação devem ser tomadas todas as precauções no sentido do respeito da privacidade e dos direitos de personalidade . IV. À luz desta norma e dos princípios jurídicos e éticos que, nesta matéria, se afirmam, o n.º 1 do artigo 5.º da LIC deve ser lido de modo a obrigar os investigadores, na avaliação prévia à investigação que pretendem realizar, a ponderar os riscos previsíveis não apenas para a vida ou integridade física das pessoas, mas também para a privacidade e para a proteção dos dados pessoais. Só após a consideração de todos estes riscos, estará um investigador em condições de concluir que os potenciais benefícios superam os riscos e inconvenientes previsíveis. O que, aliás, vem explicitado na alínea c) do n.º 1 do artigo 6.º do mesmo diploma legal. V. A presente Deliberação estabelece os princípios orientadores e conformadores do tratamento de dados pessoais dos participantes em investigação clínica, à luz da Lei n.º 67/98, de 26 de outubro – Lei da Proteção de Dados Pessoais (doravante, LPDP) –, bem como da LIC e do Decreto-Lei n.º 145/2009, de 17 de junho, e revoga as Deliberações n.º 227/2007, de 28 de maio de 2007, e n.º 333/2007, de 16 de julho. Assim, tendo em conta: - A Convenção 108.º do Conselho da Europa, de 28 de janeiro de 1981; - A Diretiva 95/46/CE, do Parlamento Europeu e do Conselho, de 24 de outubro; - O n.º 1 do artigo 26.º, o artigo 35.º e o n.º 4 do artigo 73.º da Constituição da República Portuguesa (doravante, CRP); - A Lei n.º 67/98, de 26 de outubro, alterada pela Lei n.º 103/2015, de 24 de agosto (LPDP); - Lei n.º 21/2014, de 16 de abril, alterada pela Lei n.º 73/2015, de 27 de julho (LIC); - A Lei n.º 12/2005, de 26 de janeiro, relativa à Informação genética pessoal e informação de saúde; - A Lei n.º 48/90, de 24 de agosto (Lei de Bases da Saúde); - A Lei n.º 125/99, de 20 de abril, relativa ao Regime Jurídico das Instituições de Investigação Científica; 3 - O Código Deontológico da Ordem dos Médicos; - A Declaração de Helsínquia da Associação Médica Mundial1; a Comissão Nacional de Protecção de Dados (de ora em diante, CNPD) delibera estabelecer as condições gerais para os tratamentos de dados pessoais com a finalidade de realizar investigação clínica. Assinala-se que a investigação nesta área abarca diversas realidades, que seguem metodologias distintas e, por essa razão, sujeitas a regimes jurídicos diferentes. Assim, a LIC distingue as seguintes formas de investigação: ensaios clínicos; estudos clínicos sem intervenção; estudos clínicos com intervenção; estudos clínicos de dispositivo médico; estudos clínicos de produtos cosméticos e de higiene corporal. A. Controlo prévio 1. A investigação clínica incide sobre dados pessoais dos participantes nos estudos clínicos. Na verdade, neste contexto utiliza-se informação, de qualquer natureza e independentemente do respetivo suporte, relativa a uma pessoa singular identificada ou identificável – cf. alínea a) do artigo 3.º da LPDP. Tais dados são recolhidos, registados e processados, implicando o estudo clínico, por regra, um tratamento de dados pessoais (cf. alínea b) do artigo 3.º da LPDP). 2. Acresce que os tratamentos de dados pessoais com a finalidade de realizar investigação clínica incidem necessariamente sobre dados sensíveis, designadamente dados pessoais relativos à saúde, relativos à vida privada e dados genéticos, de acordo com o n.º 1 do artigo 7.º da LPDP. Donde, nos termos da alínea a) do n.º 1 do artigo 28.º da LPDP, estes tratamentos estão sujeitos a controlo prévio pela CNPD. Consequentemente, tais tratamentos não poderão iniciar-se antes da obtenção da respetiva autorização da CNPD, a emitir nos termos e condições fixadas após notificação do tratamento a esta Comissão. 1 Aprovada na 18.ª Assembleia Geral, em junho de 1964, alterada por último na 64.ª Assembleia Geral, que decorreu em Fortaleza, no Brasil, em outubro de 2013. 4 B. Finalidade do tratamento 3. Determina a alínea b) do n.º 1 do artigo 5.º da LPDP que os dados pessoais devem ser recolhidos para finalidades determinadas, explícitas e legítimas, não podendo ser posteriormente tratados de forma incompatível com essa finalidade. Deste modo, o tratamento de dados pessoais tem de estar adstrito ao concreto fim que se pretende atingir com cada estudo, não podendo tal finalidade ser declarada genericamente como investigação clínica. Significa isto que cada estudo tem de ser notificado à CNPD, para o efeito de se aferir a legitimidade da sua específica finalidade. C. Responsável do Tratamento 4. Nos termos do artigo 3.º, alínea d), da LPDP, o responsável pelo tratamento é a pessoa singular ou colectiva, a autoridade pública, o serviço ou qualquer outro organismo que, individualmente ou em conjunto com outrem, determine as finalidades e os meios de tratamento dos dados pessoais. 5. A LIC, no capítulo III, considera responsáveis pela realização do estudo clínico o promotor, o investigador e o monitor – cf. artigos 9.º, 10.º e 11.º. No entanto, a responsabilidade pela realização do estudo não é necessariamente coincidente com a responsabilidade pelo tratamento de dados pessoais no contexto do estudo. Assim, importa clarificar quem é, do ponto de vista da proteção de dados pessoais, o responsável pelo tratamento. 6. De acordo com a alínea ff) do artigo 2.º e as alíneas e), i) e k) do artigo 9.º da LIC, o promotor é o responsável pela conceção e realização do estudo, competindo-lhe assegurar que o estudo é realizado em conformidade com as exigências legais e regulamentares aplicáveis. Ou seja, o promotor é a entidade que determina a finalidade e os meios do tratamento de dados pessoais, a quem compete assegurar o cumprimento das obrigações legais em matéria de proteção de dados. Por isso, o promotor é o responsável pelo tratamento de dados pessoais, a quem incumbe cumprir as obrigações decorrentes da LPDP. 7. Todavia, pela própria natureza da investigação clínica o investigador pratica atos materiais típicos do responsável, como seja a obrigação de informar (alínea b) do artigo 10.º da LIC e artigo 10.º da LPDP), a obrigação de obter consentimento prévio 5 dos participantes titulares dos dados (alínea c) do artigo 10.º da LIC e n.º 2 do artigo 7.º da LPDP), a obrigação de assegurar o processamento dos dados pessoais (alínea f) do artigo 10.º da LIC) e garantir a confidencialidade do estudo (alínea g) do artigo 10.º da LIC). 8. Ressalva-se as situações em que há coincidência entre o promotor e o investigador, o que sucederá, por regra, nos estudos clínicos, efetuados para obtenção de graus académicos. D. Subcontratantes2 9. De acordo com o disposto no artigo 16.º da LPDP, a entidade responsável pelo tratamento de dados pessoais pode atuar através de outra pessoa que age sob a sua autoridade e direção. É o caso do monitor (cf. alínea cc) do artigo 2.º da LIC), o qual tem a obrigação de garantir que os dados são registados de forma correta e completa e, nessa medida, acompanha o estudo de modo a manter o promotor permanentemente informado (v. também a alínea a) do n.º 1 do 11.º da LIC). Esta garantia é interna, i.e., opera na relação entre o promotor e o monitor, pois perante os participantes, a CNPD e os terceiros, a obrigação de manter os dados nas condições prescritas nas alíneas b) a e) do n.º 1 do artigo 5.º da LPDP, bem como a obrigação de respeitar todas as condições da autorização do estudo, cabe ao promotor. 10. De igual modo, o investigador é um subcontratante do promotor que se responsabiliza pela realização do estudo no centro de estudo clínico, cabendo-lhe, em representação e em nome do promotor, cumprir o previsto no artigo 10.º da LIC. 11. Entre o promotor e o subcontratante deve haver um contrato, ou outro ato jurídico, que vincule o subcontratante ao responsável nos termos do n.º 3 do artigo 14.º da LPDP. 12. Nesse contrato ou ato jurídico, o qual revestirá a forma escrita, com valor probatório legalmente reconhecido, deve constar que o subcontratante apenas atua 2 A expressão subcontratante utilizada no texto é transcrita da LPDP. Todavia, cumpre notar que não se afigura a mais adequada por não corresponder à realidade que o legislador tem em vista: quem subcontrata é o responsável, não (pelo menos, não necessariamente, já que em abstrato podem ocorrer níveis vários de subcontratação do processamento dos dados) aquele que vai processar os dados pessoais. 6 mediante instruções do responsável pelo tratamento e que lhe incumbe a obrigação de pôr em prática as medidas técnicas e organizativas adequadas para proteger os dados pessoais contra a destruição acidental ou ilícita, a perda acidental, a alteração, a difusão ou acesso não autorizados, bem como para garantir um nível de segurança adequado em relação aos riscos inerentes ao tratamento e à natureza dos dados a proteger (cf. artigo 14.º da LPDP). 13. Caso o responsável pelo tratamento opte pela contratação, para a elaboração do estudo, de uma entidade externa, normalmente entidades especialistas em consultadoria clínica, esta entidade atuará também na qualidade de subcontratante para efeito da legislação de proteção de dados pessoais. E. Condições de legitimidade 14. Na sequência da epígrafe que proclama o primado da pessoa humana, o artigo 3.º da LIC, no seu n.º 1, estatui que os estudos clínicos são realizados no estrito respeito pelo princípio da dignidade da pessoa e dos direitos fundamentais, prevalecendo os direitos dos participantes, no dizer do n.º 2, sobre os interesses da ciência e da sociedade. 15. Como se referiu supra, a investigação clínica implica o tratamento de dados pessoais sensíveis, tratamento que está, por regra, proibido pelo n.º 1 do artigo 7.º da LPDP. Porém, existem algumas exceções expressamente previstas na lei. Com relevo para o presente contexto, o tratamento é admissível quando se verifiquem as condições de legitimidade constantes do nº 2 do artigo 7.º da LPDP: lei (formal) habilitante; ou autorização da CNPD, que assente em consentimento expresso do titular ou em interesse público importante, neste último caso desde que o tratamento seja indispensável ao exercício de atribuições legais ou estatutárias do seu responsável. 16. A lei exige ainda que sejam sempre asseguradas garantias de não discriminação. O n.º 1 do artigo 3.º da Lei n.º 12/2005, de 26 de Janeiro, relativa à informação genética pessoal e informação de saúde, veio reforçar a ideia da autodeterminação informacional já enunciada na LPDP e expressamente prever que as unidades do sistema de saúde são depositários da informação, informação que é “propriedade” do 7 titular e que não pode ser utilizada para outros fins que não os de prestação de cuidados e a investigação em saúde. 17. Nos n.ºs 3 e 4 do artigo 4.º do mesmo diploma refere-se que a informação de saúde só pode ser utilizada pelo sistema de saúde nas condições expressas em autorização escrita do titular e que o acesso à informação pode ser facultado para fins de investigação desde que anonimizado. Desta forma, as unidades do sistema de saúde só podem utilizar os dados pessoais de saúde para fins de investigação clínica nos termos constantes da autorização escrita do titular. 18. Em sentido próximo aponta a alínea d) do n.º 1 do artigo 6.º da LIC, que prescreve que o estudo clínico só pode realizar-se se for obtido o consentimento informado nos termos desse diploma. 19. Assim, por regra, os tratamentos de dados pessoais efetuados no âmbito de estudos clínicos só estão legitimados se houver consentimento livre, específico, informado (alínea h) do artigo 3.º da LPDP), expresso (n.º 2 do artigo 7.º da LPDP) e, nos casos especificados na Lei n.º 12/2005, escrito. 20. O consentimento livre significa que o titular não conhece nenhuma condicionante ou dependência no momento da sua declaração que afete a formação da sua vontade e, ainda, que pode revogar, sem penalizações e com efeitos retroativos, o consentimento que haja prestado. Por consentimento específico entende-se a concordância em relação a uma contextualização factual concreta, a uma atualidade cronológica precisa e balizada e a uma operação determinada. O consentimento específico afasta os casos de consentimento preventivo e generalizado, prestado de modo a cobrir uma pluralidade de operações. Por consentimento informado pretende dizer-se que ao titular foi dado conhecimento, não apenas dos elementos do artigo 10.º da LPDP, mas ainda de todas as informações relevantes para a compreensão de todos os elementos atinentes ao tratamento. O dever de informação por parte do responsável inclui o dever de esclarecer e a obrigação de se certificar que o titular conheceu e apreendeu todos os elementos do conteúdo do direito de informação. A existência ou possibilidade de ocorrência de riscos para o titular, quer para a sua saúde, quer para a sua privacidade, deve ser comunicada. O consentimento expresso concretiza-se numa declaração diretamente dirigida a manifestar concordância com o 8 tratamento de dados pessoais, não podendo ser inferido ou extraído implicitamente de outras declarações ou comportamentos. 21. Nos estudos não interventivos retrospetivos e na escolha da amostra objeto de estudo, quando esta dependa da verificação de determinados parâmetros, é necessário aceder a informação pré-existente detida pelo estabelecimento de saúde ou médico assistente do titular. Exigindo a lei consentimento nos termos acima descritos, sempre que seja necessário aceder a essa informação sem que aquele consentimento tenha sido previamente concedido, o investigador terá que contar com a colaboração do detentor da informação para atingir esse objetivo – a obtenção do consentimento. Isto é, a entidade responsável pelo tratamento deve solicitar à unidade de saúde ou a quem detenha os dados pessoais que contacte os titulares e obtenha destes o competente consentimento, antes da realização do estudo, de forma a permitir este tratamento. Tal constitui condição sine qua non, portanto, sem a qual não é possível realizar o tratamento/estudo. 22. Admite a Lei n.º 12/2005 que, nos casos de utilização retrospetiva de material biológico e amostras de ADN em que não tenha sido recolhido o consentimento do titular, nem este possa ter sido obtido devido à quantidade de dados ou por morte do titular, o fundamento de legitimidade para o tratamento de dados pessoais decorra do disposto no n.º 6 do artigo 19.º. Neste caso, o tratamento de dados pessoais para investigação clínica encontra a condição de legitimidade preenchida pela verificação dos pressupostos desta norma legal, devendo estar cabalmente circunstanciadas e demonstradas as “situações especiais“ (veja-se o n.º 6 do artigo 19.º: no caso de uso retrospectivo de amostras ou em situações especiais das quais deriva a impossibilidade de obtenção do consentimento). Estas situações devem ser verdadeiramente especiais, não se bastando com argumentos de maior conveniência, vantagem, facilidade ou viabilidade. 23. Sempre que não exista consentimento nos termos indicados, a CNPD só pode autorizar o tratamento de dados pessoais se concluir que o mesmo é justificado para a satisfação de interesse público importante e desde que se revele indispensável à realização das atribuições do responsável. 9 Para tal, deve ser demonstrada de forma inequívoca a existência e a importância do interesse público do estudo ou da investigação em causa, interesse público que deve ser prosseguido de forma imediata e direta pelo resultado da investigação (o resultado da investigação deve concretizar imediata e diretamente o interesse público em causa, o qual deve revestir inquestionável importância para a comunidade, não bastando que a investigação prossiga o interesse público de forma indireta, mediata, reflexa ou remota). 24. Seja a entidade responsável um Laboratório de Estado, uma outra instituição pública de investigação, um Laboratório Associado ou uma instituição particular de investigação integrada em programa de financiamento público de duração prolongada, a importância do interesse público da investigação a efetuar com o tratamento de dados pessoais, sem o consentimento dos titulares, deve ser declarada pela entidade independente que acompanha e avalia cientificamente estas instituições, quer internamente, quer pelo Ministério responsável pela tutela da área da investigação científica. 25. No caso de instituições particulares de investigação não inseridas nos programas de financiamento público de duração prolongada, a utilização de dados pessoais para investigação clínica sem o consentimento devido pelos seus titulares deve resultar da demonstração, quer da “situação especial”, quer da importância do estudo, através de meios equivalentes. Demonstrada, assim, a especialidade da situação que impossibilita a obtenção do consentimento dos titulares dos dados, por um lado, bem como a importância do interesse público diretamente prosseguido pela investigação clínica em causa, a CNPD pode autorizar o tratamento de dados pessoais para esta finalidade. 26. Pode acontecer que as unidades de saúde do sistema nacional de saúde se apresentem nos tratamentos de dados pessoais de saúde para fins de investigação clínica, não apenas como elementos da cadeia de investigação sob responsabilidade de uma instituição de investigação clínica, mas como verdadeira instituição de investigação clínica e responsável pelo tratamento. Tal prevê-se que aconteça porque, nos termos da Base XVII da Lei de Bases de Saúde, o incremento e o apoio à investigação com interesse para a saúde devem ser uma realidade nos serviços do Ministério da Saúde, quer se trate de investigação clínica básica, quer se trate de investigação clínica aplicada à saúde pública. 10 27. Neste caso, i) uma vez que a unidade do sistema nacional de saúde já detém os dados pessoais dos titulares para fins de investigação clínica (n.º 1 do artigo 3º da Lei n.º 12/2005); ii) uma vez que é pressuposta a existência e disponibilidade dos dados pessoais de saúde, no seio da unidade do sistema nacional de saúde, para fins de investigação clínica (n.º 5 do artigo 5.º da Lei n.º 12/2005); iii) uma vez que a utilização de amostras biológicas para fins de investigação, sem o consentimento dos titulares, é admitida nos termos e nos casos excecionais do n.º 6 do artigo 19.º da Lei n.º 12/2005, sendo que essas amostras são, potencialmente, reveladoras de informação mais profunda e mais global dos indivíduos do que a informação médica registada no processo clínico; tudo leva a que as unidades do sistema nacional de saúde possam apresentar-se como responsáveis pelo tratamento de dados pessoais para fins de investigação clínica, em posição equivalente a uma instituição de investigação científica. 28. Tal ocorrerá, devido à idoneidade, competência técnica e capacidade organizacional e de meios que as unidades de saúde do sistema nacional de saúde apresentam, havendo motivação e fundamentação da importância do interesse público na investigação, que pode ser aferida pela Comissão de Ética Competente (alínea k) do artigo 2.º da LIC). 29. Merece especial referência o caso da utilização de dados pessoais em estudos clínicos, sem consentimento dos titulares, efetuados para obtenção de graus académicos. Nestas situações, sendo a entidade responsável pelo tratamento a pessoa individual, reforça-se a necessidade de garantir a autodeterminação dos titulares. Na verdade as garantias de capacidade técnica, de dotação de meios, de suficiência organizacional, de adoção de medidas de segurança mais raramente se verificarão numa pessoa individual desinserida de uma estrutura institucional. Tal não obsta a que, nos mesmos termos acima referidos, seja atestado o interesse público na investigação, e as instituições de ensino superior se responsabilizem pelo acompanhamento e avaliação dos estudos em causa, assumindo a responsabilidade efetiva pela dotação de meios adequados à pessoa singular em causa. Também aqui é importante que o interesse público do estudo possa ser justificado pela Comissão de Ética Competente. Nestes casos, após análise casuística de cada notificação, pode acontecer que a CNPD considere que se preenchem as exigências para a 11 admissibilidade dos tratamentos de dados pessoais para investigação clínica sem consentimento dos titulares. 30. Importa ainda referir que, embora sejam distintos o consentimento para a participação no estudo clínico e o consentimento para o tratamento de dados pessoais dele decorrente, o modo de prestar esse consentimento pode ser uniformizado para facilitação da formação e manifestação da vontade e para a sua compreensão integrada. A este propósito esclarece-se que o disposto no n.º 2 do artigo 6.º da LIC, que reconhece à Comissão de Ética Competente a faculdade de dispensar o consentimento, só pode valer para a participação no estudo clínico. F. Categorias de dados pessoais tratados 31. Por regra, mostrar-se-á necessário para a realização do estudo notificado tratar as seguintes categorias de dados: dados de saúde, dados genéticos, dados da vida sexual e dados da vida privada. A generalidade destes dados, como se referiu, integra a categoria de dados sensíveis, razão por que o seu tratamento está por norma proibido. 32. Em primeiro lugar, importa analisar as características gerais dos estudos, designadamente se os mesmos são prospetivos ou retrospetivos, se obrigam à recolha de dados identificados, se o estudo pode ser efetuado com dados identificáveis ou, ainda, se poderá decorrer com dados não identificáveis. 33. Sempre que um estudo possa ser efetuado sem o tratamento de dados pessoais, i.e., dados identificados ou identificáveis (cf. alínea a) do artigo 3.º da LPDP), deve ser essa a opção do investigador. Por outras palavras, sempre que o estudo possa ser feito com dados irreversivelmente anonimizados, portanto nas situações em que não se identifica nem é possível identificar os titulares dos dados, deve ser esta a opção tomada para a investigação. 34. No caso de não se poder efetuar o estudo com dados irreversivelmente anonimizados, deve privilegiar-se a utilização de dados codificados3, ainda que estes 3 Dados codificados ou dados pseudo-anonimizados, como se explica no Parecer n.º 5/2014 do Grupo de Trabalho de Comissários Europeus de Proteção de Dados, previsto no artigo 29.º da Diretiva 95/46/CE 12 possam ser, mediante a aplicação de uma chave de descodificação, convertidos em dados pessoais. Note-se que o acesso a esta chave tem necessariamente de estar limitado ao investigador. 35. Só em último caso e perante necessidade estrita, devidamente demonstrada, se poderá admitir a utilização de dados identificados para fins de investigação clínica. Sendo assim, a entidade responsável, na notificação do tratamento de dados pessoais, deve justificar a necessidade de efetuar o estudo de forma identificada ou identificável. 36. Sublinha-se que a investigação clínica realizada, desde o primeiro momento, com dados irreversivelmente anonimizados não cai no âmbito da LPDP, pelo que não tem de observar qualquer das obrigações nela previstas. 37. Em segundo lugar, os dados pessoais tratados devem ser adequados, pertinentes e não excessivos relativamente à finalidade do estudo, bem como exatos e atualizados de acordo com as alíneas c) e d) do n.º 1 do artigo 5.º da LPDP. Em causa está, pois, desde logo, a concretização do princípio da proporcionalidade, nas suas diferentes vertentes: adequação, necessidade e proibição do excesso. O que implica que o responsável pondere a restrição ou compressão dos direitos fundamentais à reserva da intimidade da vida privada e familiar e à proteção de dados pessoais dos participantes (e, porventura, dos seus familiares) que este tipo de tratamento de dados implica, sobretudo por o estudo incidir sobre dados sensíveis. Por força de tal princípio, os dados pessoais tratados devem ser os indispensáveis à realização da concreta finalidade do estudo e apenas na medida em que do seu tratamento não resulte a lesão insuportável e excessiva daqueles direitos. Esse juízo de ponderação será controlado pela CNPD, por ocasião da análise do pedido de autorização. 38. Note-se que, em princípio, se justifica o tratamento dos dados de saúde neste contexto. Todavia, poderá não ser tão óbvia a proporcionalidade em sentido amplo de dados pessoais comportamentais, psicológicos ou volitivos, entre outros, ou ainda dos (Grupo de Trabalho do Artigo 29.º), de 10 abril de 2014, consultável em http://ec.europa.eu/justice/dataprotection/article-29/documentation/opinion-recommendation/files/2014/wp216_en.pdf. 13 dados referentes à origem racial ou étnica. Quanto a este tipo de dados, cabe ao responsável pelo tratamento dos dados demonstrar, por via de fundamentação específica, que os mesmos são adequados, necessários e não excessivos em relação à finalidade do estudo. 39. Assim, de acordo com este princípio, só podem ser tratados os dados que se revelem adequados ao fim visado pelo estudo. O que significa que não se admite a recolha e subsequente tratamento de dados pessoais que não tenham conexão com o estudo ou que não sejam relevantes para o mesmo – é o que sucederá, por exemplo, com o dado filiação partidária ou sindical, ou o dado convicção política ou filosófica. 40. Mas verificada a adequação dos dados a tratar importa ainda apreciar, por força do mesmo princípio, a necessidade da informação pessoal para a prossecução do objetivo do estudo. O que passa por analisar se a finalidade do estudo exige efetivamente o tratamento de todos os dados tidos por adequados. É que um dado pessoal pode ser adequado – por revelar utilidade para a prossecução da finalidade do estudo – mas não ser necessário à realização do estudo. É o que pode suceder, por exemplo, com os dados relativos à vida sexual ou à fé religiosa ou ainda, em determinadas circunstâncias, com os dados referentes à origem racial ou origem étnica. Também aqui é imperativo ponderar o impacto que o tratamento dos dados pessoais pode ter na vida privada e pessoal dos participantes (e, reitera-se, porventura dos seus familiares ou demais terceiros), restringindo tal impacto ao mínimo indispensável à realização proficiente do estudo e do seu objetivo. 41. Para melhor esclarecimento deste juízo de necessidade, tome-se um exemplo referente à fé religiosa: em relação às pessoas que professem uma religião que não admita a transfusão sanguínea não é necessário recorrer ao tratamento do dado “fé religiosa”, bastando, com adequação, necessidade e não excessividade, face à finalidade do estudo, proceder ao registo do dado objetivo “inadmissibilidade de transfusão de sangue”. 42. Concluindo-se serem os dados a tratar adequados e necessários, impõe-se um último juízo, referente ao caráter não excessivo (proporcional) do tratamento de um específico dado. A restrição aos direitos fundamentais dos titulares dos dados pode revestir tal intensidade e ter tal dimensão que, mesmo sendo a recolha e o 14 processamento subsequente do dado adequados e necessários à realização do estudo, as vantagens a obter com o estudo não compensam aquela restrição. É esta dimensão do princípio da proporcionalidade que o legislador procurou explicitar no n.º 2 do artigo 3.º da LIC, quando afirma que os direitos dos participantes nos estudos clínicos prevalecem sempre sobre os interesses da ciência e da sociedade. G. Medidas de Segurança 43. Em relação à segurança da informação – e porque estão em causa dados sensíveis, designadamente dados de saúde – importa considerar as medidas previstas no artigo 15.º da LPDP. Tais medidas devem aplicar-se tanto aos dados contidos em ficheiros automatizados, como aos dados manuais. Importa ainda ter em atenção os procedimentos concretos quanto às formas de recolha, processamento e circulação da informação. 44. Em primeiro lugar, e quanto aos dados automatizados, o sistema deve garantir uma separação lógica entre os dados referentes à saúde e os restantes dados pessoais, de natureza administrativa (artigo 15.º, n.º 3, da LPDP). Nesse sentido, o sistema informatizado deve estar estruturado, de modo a permitir o acesso à informação de acordo com os diferentes perfis de utilizador, com níveis de acesso diferenciados e privilégios de manuseamento da informação distintos. Deverão ser atribuídas palavras-passe que disciplinem as autorizações de acesso. Os perfis de utilizador devem ser mantidos atualizados e eliminados quando o utilizador deixe de ter privilégios de acesso. As palavras-passe devem ainda ser periodicamente alteradas. 45. Devem, pois, ser adotadas medidas de segurança que impeçam o acesso à informação a pessoas não autorizadas. 46. A consulta do processo clínico está expressamente prevista para fins de investigação epidemiológica, clínica ou genética (cf. n.º 5 do artigo 5.º da Lei n.º 12/2005) com as limitações constantes do artigo 16.º relativamente à investigação sobre o genoma humano. Assim, o acesso ao processo clínico para estes fins pressupõe a pré-existência de um tratamento de dados pessoais devidamente autorizado. 15 47. Sempre que haja circulação da informação de saúde em rede, a transmissão dos dados deve ser cifrada (cf. n.º 4 do artigo 15.º da LPDP). 48. Ainda no âmbito das condições de segurança, deve ser garantido um acesso restrito, sob o ponto de vista físico e lógico, aos servidores do sistema, que devem manter um registo de acesso à informação sensível para controlo das operações e para a realização de auditorias internas e externas. De igual modo, devem ser feitas cópias de segurança (backups) da informação, as quais deverão ser mantidas em local apenas acessível ao administrador de sistema ou, sob sua direcção, a outros técnicos obrigados a segredo profissional. 49. No que diz respeito aos dados contidos em suporte de papel, devem ser adotadas medidas organizacionais, que garantam um nível de segurança idêntico, impedindo o acesso e manuseamento indevidos. 50. Quando a recolha de dados pessoais referentes à saúde não for efetuada diretamente pelo profissional de saúde (por exemplo, preenchimento de um questionário diretamente pelo titular dos dados), têm de ser tomadas medidas concretas quanto à circulação dessa informação, que impeçam a visualização dos dados por pessoa não autorizada (cf. alíneas b) e h) do n.º 1 do artigo 15.º da LPDP), designadamente mediante a entrega em mão ao profissional de saúde ou entrega nos serviços, em envelope fechado, endereçado ao profissional de saúde. 51. Independentemente das medidas de segurança adotadas pela entidade responsável pelo tratamento, é a esta que cabe assegurar o resultado da efectiva segurança da informação e dos dados tratados. H. Sigilo profissional 52. Decorre do n.º 1 do artigo 17.º da LPDP que todos os que no exercício das suas funções tenham conhecimento de dados pessoais tratados ficam obrigados a sigilo profissional. A confidencialidade das informações respeitantes à participação no estudo clínico vem ainda prevista na alínea g) do artigo 10.º da LIC, que atribui a competência de garantia dessa confidencialidade ao investigador. 16 53. Ao dever de confidencialidade estão, pois, vinculados os profissionais que acedam, nos termos da lei, aos dados pessoais. A tal dever estão especificamente sujeitos o auditor, o monitor, bem como os serviços de fiscalização ou inspeção das autoridades reguladoras competentes, de acordo com o n.º 5 do artigo 9.º da LIC. I. Comunicação de Dados 54. Sem prejuízo das comunicações legalmente previstas, não pode haver comunicação de dados pessoas. No entanto, nos casos de estudos multicêntricos, os dados pessoais são comunicados de uns centros a outros, com observância das regras de segurança da informação. A indicação dos centros e dos destinatários da informação e dos dados pessoais deve ser conhecida e declarada na notificação do tratamento junto da CNPD e deve ainda ser comunicada ao titular dos dados aquando da obtenção do consentimento. J. Prazo de conservação da informação 55. Nos termos do artigo 5.º, n.º 1, alínea e), da LPDP, os dados pessoais apenas podem ser conservados durante o período necessário para prossecução das finalidades da recolha ou do tratamento posterior. 56. Sem prejuízo de a CNPD analisar casuisticamente situações especiais que lhe sejam apresentadas, por regra os prazos máximos de conservação serão os seguintes: - No caso de ensaios clínicos com medicamentos experimentais, o prazo máximo de conservação deve coincidir com os prazos previstos no ponto 5.2 do Anexo I do Decreto-Lei n.º176/2006, de 30 de agosto, alterado, por último, pelo Decreto-Lei n.º 20/2013, de 14 de fevereiro; - No caso de estudos clínicos com dispositivos médicos, nos termos do disposto no Decreto-Lei n.º 145/2009, de 17 de junho, o prazo máximo de conservação é de 15 anos para os dispositivos médicos implantáveis e 5 anos para os restantes dispositivos médicos. - Nos restantes casos, a chave que produziu o código que permite a identificação indireta do titular dos dados deve ser eliminada cinco anos após o fim do estudo. 17 K. Direito de informação 57. A prestação de informação por parte do responsável do tratamento ao titular dos dados é um direito essencial no regime de protecção de dados, com consagração constitucional. Ademais, o direito de informação é corolário dos princípios da boa fé, da lealdade e da transparência, pelo que o titular dos dados deve ter conhecimento da existência de um tratamento de dados pessoais e obter, no momento em que os dados lhe são pedidos, uma informação rigorosa e completa das circunstâncias dessa recolha, cujo conteúdo mínimo é, antes do mais, o constante do artigo 10.º da LPDP, e de outros elementos relevantes para a formação da vontade do titular. L. Direito de acesso e retificação 58. O direito de acesso aos dados pessoais por parte do respetivo titular, bem como o direito de os retificar, são igualmente direitos fundamentais (n.º 1 do artigo 35.º da CRP), essenciais para a verificação da observância dos princípios da adequação, pertinência, exatidão e atualização dos dados pessoais (alíneas c) e d) do n.º 1 do artigo 5.º da LPDP). 59. Nos termos do n.º 1 do artigo 11.º da LPDP, o titular dos dados tem o direito de obter diretamente do responsável do tratamento, livremente, sem restrições, com periodicidade razoável, sem demoras ou custos excessivos, o conjunto das informações previstas nas alíneas a) a e) da norma acima mencionada. 60. Havendo, no contexto desta finalidade, lugar ao tratamento de dados de saúde, o direito de acesso deverá ser exercido, nos termos do n.º 5 do artigo 11.º da LPDP, isto é, por intermédio de médico escolhido pelo titular dos dados. Esta é a imposição, também, do n.º 3 do artigo 3.º da Lei n.º 12/2005. 61. Quanto ao direito de retificação, este é exercido junto do responsável pelo tratamento, pelo que, no momento da prestação do direito de informação, aquele deverá estabelecer a forma como o titular dos dados o pode fazer. 18 M. Interconexões de dados 62. A admissibilidade de interconexões de dados depende da adequação, da estrita necessidade e da não excessividade da sua realização em relação à finalidade do tratamento. Deste modo, tem a interconexão de estar especificamente fundamentada na notificação apresentada à CNPD. 63. Sublinha-se que a interconexão de dados não deve ser feita de tal modo que traduza uma informação global sobre o titular, em termos de acarretar um risco de discriminação ou uma potencial diminuição dos seus direitos, liberdades e garantias. 64. A interconexão de dados deve revestir-se de medidas de segurança da informação especialmente preventivas de acessos e utilizações indevidas (cf. artigo 9.º da LPDP). N. Transferências de dados para países terceiros 65. A possibilidade de transferir dados pessoais para países que não pertençam à União Europeia depende da verificação dos requisitos constantes do artigo 19.º da LPDP ou se se estiver perante uma derrogação prevista expressamente no artigo 20.º do mesmo diploma legal. 66. Assim, tratando-se de dados pessoais sensíveis, no âmbito de tratamentos que, em regra, duram longos períodos de tempo e que requerem medidas de segurança de elevada eficácia, as circunstâncias a aferir para a admissibilidade do tratamento devem conhecer uma análise e ponderação rigorosas. 67. No caso de transferência de dados pessoais codificados, porquanto no destino não é conhecida a chave de codificação e, nessa medida, quem é o titular dos dados, entende a CNPD não estar em causa uma transferência de dados pessoais em sentido próprio, pelo que tal transmissão não está sujeita aos requisitos dos artigos 19.º e 20.º da LPDP. O. Anonimização, codificação e acesso aos dados pessoais 19 68. Sempre que se proceda à codificação dos dados pessoais, deve esta garantir que a identificabilidade dos participantes fique dificultada em grau elevado. Não devem, por isso, ser utilizados códigos, por exemplo, correspondentes à primeira letra do nome e apelido do participante ou à data do nascimento, ou a qualquer outro dado que permita, facilmente, deduzir a sua identidade no universo (limitado) do estudo. Em relação aos dados pessoais identificados dos participantes, o acesso rege-se pelo princípio da indispensabilidade (princípio da proporcionalidade, na vertente da necessidade). Ou seja, só pode ter-se por legítimo o acesso aos dados estritamente necessários ao fim que o justifica. 69. Como se referiu supra, é reconhecida por lei a possibilidade de acesso aos dados identificados ao monitor, auditor e entidades reguladoras. Sucede que, por força daquele princípio, estes só podem aceder na estrita medida do necessário para o cumprimento das suas obrigações legais, nos termos dos n.ºs 3 e 4 do artigo 9.º da LIC. 70. Serão ainda de ponderar outras situações em que a lei cria obrigações cujo cumprimento depende do acesso aos dados pessoais identificados. Lisboa, 22 de outubro de 2015